罔顾国度利益！公司破绽最终造成俄罗斯黑客的大规模攻打 微软前员工 微软无视正告

编辑 | 伊风

出品 | 技术栈（微信号：blog51cto）

前微软员工安德鲁申斥微软。

整个故事提醒了在科技巨头如何被企业的眼前利益所蒙蔽，一次性次地无视安保破绽，最终走到无可拯救的局面，造成美国遭逢了"环球上有史以来规模最大、最复杂的黑客攻打"。

2016年，安德鲁·哈里斯发现了一个准许黑客潜入敏感计算机网络的破绽，并在随后的几年里不时向公司上层收回正告，却每每遭到微软上层的漠视。

这一疏忽最终被俄罗斯黑客发现并顺利入侵，这就是臭名昭著的SolarWinds事情，这次黑客执行影响了包括美国国度核安保局和国立卫生钻研院在内的关键联邦机构。

安德鲁的保持与微软的冷酷构成显明对比，在资本自觉逐利的驱使之下，安保疑问只能退居其次。

这个故事不只是对团体勇气的颂扬，更是对整个科技行业安保文明的深入反思。

1.安保天赋进入“捉鬼敢死队”

在进入微软之前，安德鲁曾有着近七年在国防部的上班阅历。作为货真价实的安保天赋，这份offer是他在大学时代就提早取得的。

作为纽约佩斯大学的大二在校生，他写了一篇题为 "如何破解有线等效协定"（How to Hack the Wired Equivalent Protocol"）的白皮书，这是一个网络安保规范，协助其取得了一项享有盛誉的国防部奖学金，政府用这笔钱来招募网络安保专家。

安德鲁说，国度安保局支付了他三年的学费，包括软件工程硕士学位，作为替换，他承诺至少为政府上班那么常年间。

在职业生涯的早期，他协助指导了国防部包全团体设施的致力。他成为了一个被称为身份和访问治理的小众畛域的专家，确保人们的登录形式。

与 NSA 和 NIST 协作开发 SCAP、安保内容智能化协定（即 CVE、CVSS）。将这些新兴规范与可信计算组（TCG）的其余规范整合到整个国防部的现有才干/服务中。

随着岁月的流逝，安德鲁开局对轻便的官僚机构感到丧气，并盼望科技行业的翻新。他感觉他可以在私营企业中发生更大的影响——企业设计了政府经常使用的大局部软件。

2014年3月，他以网络安保架构师的职位参与微软。

在微软，他被调配到一个名为“捉鬼敢死队”的秘密单位（就像：“你会打电话给谁？”），该单位照应和处置公司最敏感、隐秘度最高的客户遇到的黑客攻打疑问，最关键的客户便是联邦政府。

作为这个团队的成员，安德鲁首先考查了对科技公司令人困惑的攻打，即使在微软外部换角色后，他依然对此着迷。

最终，他确认了Active Directory Federation Services中的破绽，AD FS是一个准许用户单次登录即可访问他们所需的简直一切资源的产品。他发现的疑问在于运行程序在用户登录时如何经常使用名为SAML（安保断言标志言语）的计算机言语启动用户认证。

而要修复这个破绽，须要对AD FS中SAML的处置形式启动修正和增强，以确保安保认证环节的完整性和安保性。

2.心系政府订单，微软开启装瞎形式

在考查初期，安德鲁感到困惑重重。

这些困惑来自两个层面：首先，它触及到公司的云服务——一个虚构仓库，通常蕴含组织的最敏感数据。其次，攻打者以一种简直没有留下痕迹的形式实现了这一执行。

他回到自己的家庭办公室启动“模拟攻防演练”，对或者遭到要挟的各种软件产品启动压力测试。

后来，他专一于一个微软运行程序，该程序确保用户有权登录基于云的程序，相当于一个官员在边陲审核护照。

经过几个月的钻研，他在那里发现了一些严重的疑问。

这个产品被数百万人用来登录他们的上班计算机，其中蕴含了一个破绽，或者准许攻打者伪装成合法员工，翻查受攻打者“皇冠上的宝石”——国度安保秘密、公司常识产权、令人难堪的团体电子邮件——一切这些都不会由于触发警报而被发现。

关于曾在国防部上班了将近七年的安德鲁来说，这是一个安保噩梦。任何经常使用该软件的人都暴露了，无论他们经常使用的是微软还是亚马逊等其余云服务提供商。但安德鲁最担忧的是联邦政府以及他的发现对国度安保的影响。他向共事们标志了这个疑问。

他们的认识不同，安德鲁说。联邦政府正预备在云计算上启动大规模投资，而微软正迫不迭待地取得这笔业务。

安德鲁回想说，抵赖这个安保破绽或者会危及公司的时机。财务结果是渺小的。微软不只或者失去一项数十亿美元的买卖，还或者失去主导云计算市场的比赛。

安德鲁说，他多年来不时请求公司处置产品中的破绽，这是ProPublica的一项考查发现的。但在每一个转机点上，微软都对他的正告束之高阁，通知他他们会在常年代替方案上上班——同时让环球的云服务容易遭到攻打。

3.处置无果，安德鲁绝望出奔

安德鲁确信早晚有人会知道如何应用这个破绽。

在取得不到微软上层的任何协助之下，他想出了一个暂时处置方案。但这须要客户封锁微软最繁难和最受欢迎的配置之一：用繁多登录就能访问简直一切在上班上经常使用的程序。

他急忙向公司一些最敏感的客户收回要挟正告，并亲身监视了纽约警察局的修停上班。由于对微软的不作为感到丧气，他于2020年8月分开了公司。

在自己的领英主页，安德鲁这样写道：“这是苦乐参半的一天，由于当天是我在 Microsoft 的最后一天。”

“我不会用环球上的任何物品来替换我的阅历：从咨询财产 100 强和 SLG/DoD/IC 机构的 CISO，到照应事情，再到撰写如何经常使用 NIST 照应网络安保事情的书籍。而后向美国众议院通报状况，尤其是向白宫和五角大楼提供倡导。最终，我能够影响网络产品，专一于产品集成，同时将事情照应者放在上班首位。这是如许美妙的旅程！”

4.SolarWinds风暴来袭

几个月后，安德鲁的担忧变成了事实。

攻打始于 2020 年终，黑客秘密入侵 SolarWinds 系统，并在 Orion 软件降级中增加恶意代码。

这些降级在 2020 年 3 月至 6 月间发送给 SolarWinds 的客户。该攻打数月未被发现，第一份报告直到 2020 年 12 月才发生。

美国官员证明了无关俄罗斯黑客团队发起SolarWinds攻打的报道，这是美国历史上最大的网络攻打之一。此次攻打影响了约 18,000 名 SolarWinds 客户，其中包括许多出名组织，如微软、英特尔、思科以及疆土安所有、财政部和五角大楼等政府机构。

黑客应用哈里斯识别的破绽实施入侵，从Microsoft Office 365等云服务中窃取敏感数据和电子邮件，其中包括美国国度核安保局（担任保养美国的核武器库存）和过后正在从事COVID-19钻研和疫苗散发的美国国立卫生钻研院在内的多个联邦机构中吸取敏感数据。

俄罗斯人还应用这个弱点破坏了财政部数十个电子邮件账户，包括其最初级别官员的账户。一位联邦官员将这次违规形容为“为常年情报搜集而设计的特务优惠”。

哈里斯的叙说在这里初次被讲述，并失掉了前共事和共事的采访以及社交媒体帖子的支持，推翻了群众对SolarWinds黑客攻打的普遍了解。

这次攻打给 SolarWinds 形成了渺小的经济损失，其股价在 2020 年 12 月上涨了 35%。尔后，SolarWinds 采取措施改良其网络安保措施，并延聘专家协助公司从攻打中复原上来。

不过，从黑客攻打浮出水面的那一刻起，微软不时坚称自己无罪。微软总裁布拉德·史密斯在2021年向国会保障，“在SolarWinds中，没有任何微软产品或服务的破绽被应用”。

5.畸形的安保文明

哈里斯说他们从未失掉过期机。

“这些选择不是基于什么对微软的客户最无利，而是基于什么对微软最无利，”哈里斯说，他如今为与微软竞争的网络安保公司CrowdStrike上班。

去年8月份，安德鲁升任公司的CTO，担任环球的安保上班。

微软拒绝让史密斯（微软公司的总裁兼首席法务官Brad Smith）和其余初级官员为这个故事接受采访，但它没有质疑ProPublica（资讯机构）的发现。

同样，公司对书面疑问宣布了申明。“包全客户一直是咱们的首要义务，”一位发言人说。“咱们的安保照应团队仔细看待一切安保疑问，并给予每个案例应有的失职考查，以及与工程和安保协作同伴启动交叉确认。咱们对这个疑问的评价经过了屡次审查，并与行业共识分歧。”

ProPublica的考查是在五角大楼寻求扩展经常使用微软产品的同时启动的——这一动作在一系列针对政府的网络攻打中惹起了联邦立法者的关注。

史密斯将于周四在众议院疆土安保委员会作证，该委员会正在审查去年其余国度发起的黑客违规行为。攻打者应用微软的安保破绽取得了访问美国初级官员电子邮件的权限。在考查这次攻打时，联邦网络安保审查委员会发现微软的“安保文明无余，须要彻底革新”。

资讯考查为科技巨头畸形的安保文明削减了新的细节，出现了一个令人不安的视角——这些把握了客户数据和隐衷的硕大无朋，是如何处置其产品无处不在的安保性疑问的。

同时，这个故事还提供了关键的洞察，了解科技巨头对利润的有限谋求如何阻碍了安保决策的有效实施，尤其是在最无利可图的云市场畛域。

“这是整个行业疑问的一局部，”曾在微软担任哈里斯老板之一、如今在网络安保公司Zero Networks上班的尼克·迪科拉说。上市公司“受股价摆布，而不是一直为客户做正确的事情。资本主义的事实就是这样。你永远不会在上市公司中扭转这一点，由于归根结底，他们宿愿股东价值回升。”

参考链接：

1.

2.